Здравствуйте, vdimas, Вы писали:

V>Так я тебе объяснять что ле должен про "разрыв первого рода", когда бинарники в твоём Nix получаются отдельно, а их "регистрация" в системе отдельно? Ты ведь так и не объяснил, в чём должна заключаться невозможность подделки всего того, что делает сама Nix. )) Мне-то казалось, что повторенного более одного раза напоминания про невозможную к подделке подпись самих бинарников в виндах должно было быть достаточно, ы? Ты сам разве не увидел еще принципиальной разницы этих двух подходов? Там ведь всё глубже получается, если копнуть. В проприетарном ПО сам разработчик является владельцем приватного ключа подписи, т.е. у меня доступа к "исходнику" этой подписи нет. А с открытым ПО что делать, ы?

Тебе надо знать все дерево хешей, чтобы подменить. Если я поменяю ключи сборки gcc, libc или другого пакета, потому что я маньяк-оптимизатор и люблю свои ключи оптимизации под конкретное железо, то всю дерево зависимостей поменяет хеши. Полная пересборка всей системы, точнее, всего графа зависимостей. А ключей может быть много, тем более сценариев сборки пакетов, что приведет к "хаосу версий"(с)сам придумал. Про эту багофичу я сразу сказал. Получаем уникальную систему, и другой бинарник из другой nixos не запустится простым копированием, потому что не найдет нужные зависимости. Придется хачить/патчит бинарник, и это может сделать только сама система (nix).
Естественно можно ничего не менять, и пользоваться доверенными собранными системами от дистра. И работать от рута ("админ" в винде — это не рут), подменять бинарники на свои, писать напрямую в память процессов, но тут ты ссзб. И даже в этом случае, ты можешь сам пересобрать пакеты с проверкой повторяемости сборки.

Повторю, SxS — это костыль с попыткой разрулить зависимости, "длл-хелл" и "хаос версий" в одном флаконе.